STANDARD: Vergangene Woche hat das Pentagon einen sehr kritischen Bericht über Cyberaktivitäten Chinas publiziert. Sind öffentliche Anschuldigungen tatsächlich das Einzige, was gegen Cyberspionage unternommen werden kann?

Hathaway: All diese Berichte versuchen, Beweise vorzulegen. Die USA wollen mit China in Dialog treten und darlegen, dass hier ein echtes Problem vorliegt. Das kann man als "name and shame" interpretieren. Ich glaube aber, dass es eher auf eine Eskalation abzielt, die klar machen soll, dass die USA den Grad der Cyberspionage als Sicherheitsproblem wahrnehmen und eine ehrliche Debatte darüber zwischen beiden Staaten nötig ist.

STANDARD: Die Chinesen bestreiten jede Art der Cyberspionage. Schlagende Beweise dafür sind nur sehr schwer zu beschaffen, wie also Peking engagieren?

Hathaway: Es gibt genügend Berichte mit Länderbeispielen, in denen Fälle von Industriespionage und der Diebstahl intellektuellen Eigentums aufgelistet sind. Ist das ausreichend? In den 1980er-Jahren hatten wir ähnliche Probleme mit Japan und der Halbleiterindustrie. Die USA waren damals völlig anderer Meinung, was den Freihandel von Produkten von zentraler Bedeutung angeht. Die Spannungen von damals gleichen den Spannungen zwischen Washington und Peking heute.

STANDARD: Das Problem in dieser Debatte ist doch auch, dass die Begriffe Cyberspionage, Cybersabotage und Cyberkriegsführung völlig durcheinandergeraten, oder?

Hathaway: Es gibt mindestens sechs Aktivitäten in dieser Cyberdomäne, die von der Öffentlichkeit oft durcheinandergebracht werden. Wir sehen politischen Aktivismus im Internet, organisierte Kriminalität wie zuletzt die Banküberfälle im digitalen Raum, den Diebstahl intellektuellen Eigentums, Spionage, Sabotage durch Denial-of-Service-Attacken und die physische Zerstörung von Eigentum wie den Angriff auf die Computernetzwerke des Ölkonzerns Saudi-Aramco. Da verschwimmt vieles. Es ist für die Öffentlichkeit völlig unklar, was da vor sich geht. Aber ich denke nicht, dass wir dabei jemals die Grenze zum Krieg zwischen zwei Staaten überschritten haben.

STANDARD: Was davon ist am gefährlichsten?

Hathaway: Ein Mix aus Kriminalität, dem Diebstahl intellektuellen Eigentums und der Störung von Dienstleistungen durch Denial-of-Service-Attacken, der Wirtschaftsleistung und Wachstum eines jeden Staates echt gefährdet. Aber es kommt natürlich darauf an, in welchem Land man sich befindet. Manche Staaten stufen politischen Internet-Aktivismus als viel gefährlicher ein.

STANDARD: In Cyberkonflikten kann es durch die unzureichende Verursachererkennung zu ungewollten Konsequenzen kommen, die bis zu einer militärischen Antwort auf Cyberangriffe in der reellen Welt reichen können. Wie das vermeiden?

Hathaway: Das sogenannte Attributionsproblem ist äußerst kompliziert. Staaten müssen mehr Verantwortung dafür übernehmen, was auf ihrem Staatsgebiet geschieht. Sobald sie erkennen, dass Computer in ihrem Gebiet mit Schadsoftware infiziert oder Teil eines Bot-Netzes sind und so von Dritten manipuliert werden, müssen sie handeln.

STANDARD: In den vergangenen Jahren hat man sehr auf Resilienz, also eine Verbesserung der Widerstandsfähigkeit von Systemen gesetzt. Sind Industriestaaten heute sicherer als vor ein paar Jahren?

Hathaway: Die meisten Staaten sind heute weniger widerstandsfähig als noch vor zehn Jahren, weil heute viel mehr Systeme auf Internet-Vernetztheit aufbauen. Der Schutz kritischer Infrastrukturen hat heute viel mehr Bedeutung, weil viel weniger Resilienz in den Systemen ist als noch vor einigen Jahren. Simple Denial-of-Service-Angriffe können heute mehr Schaden anrichten als je zuvor. (Das Interview führte Christoph Prantner, DER STANDARD, 15.5. 2013)